제로 트러스트는 좋은 아이디어에 끔찍한 마케팅이 붙어 있다.
끔찍한 정도가 아니다. 보안 업계가 발견하고, 다듬고, 확장하고, 프랜차이즈하고, 그다음 관련 없는 온갖 제품에 딱지를 붙여서 이 용어가 회의실에 도착할 때는 이미 지쳐 있는 그런 문구 중 하나다. 방화벽이 제로 트러스트 방화벽이 됐다. VPN 대체제가 제로 트러스트가 됐다. 엔드포인트 제품이 제로 트러스트가 됐다. 브라우저가 제로 트러스트가 됐다. 어느 시점에서 제로 트러스트 사무용 의자를 팔 줄 알았다.
짜증나는 건 근본 아이디어가 탄탄하다는 점이다.
원래 뜻
John Kindervag의 2010년쯤 Forrester 프레이밍은 단순했다. 절대 신뢰하지 말고 항상 검증하라. 더 정확히는, 네트워크 “내부”에 있다는 이유만으로 광범위한 암묵적 신뢰를 부여하지 마라. 네트워크 위치는 도덕적 덕목이 아니다. 모든 접근 요청은 인증되고, 인가되고, 맥락에서 평가돼야 한다.
유용한 교정이었고 지금도 그렇다. 전통적 네트워크 보안은 경계를 그렸다 — 가장자리에 방화벽, 내부는 전부 신뢰. VPN이 “내부”에 연결하면 모든 곳에 접근할 수 있다. 이 모델은 경계가 뚫리지 않고 내부 행위자가 신뢰할 수 있다고 가정했다. 두 가정 모두 반복적으로 실패했다.
제로 트러스트의 말: 내부란 없다. 모든 요청은 증명되기 전까지 비신뢰. 네트워크가 아니라 정체성이 경계다.
NIST가 SP 800-207에서 공식화했다. 원칙 세트를 통해 제로 트러스트 아키텍처를 정의한다: 명시적으로 검증, 최소 권한 접근, 침해 가정. 제품 사양이 아니라 아키텍처 신조의 세트다.
벤더들이 한 짓
2020년쯤 “제로 트러스트”가 아키텍처 백서에서 마케팅 금광으로 건너갔다. 모든 엔터프라이즈 피치 덱에 등장했다.
“우리 SASE 플랫폼이 제로 트러스트를 구현합니다!” = VPN을 우리 VPN으로 바꿨습니다.
“제로 트러스트 엔드포인트 보호!” = 노트북에 에이전트를 실행합니다.
“제로 트러스트 이메일 게이트웨이!” = 이메일을 필터링합니다.
유용한 제품일 수 있다. ZT 원칙 한두 개를 구현할 수도 있다. 하지만 트래픽 허용 전에 사용자 정체를 확인한다고 방화벽을 “제로 트러스트”라고 부르는 건, 자물쇠가 있다고 문을 “제로 트러스트”라고 부르는 것과 같다. 자물쇠는 구성요소다. 아키텍처가 아니다.
피해: 모든 것이 제로 트러스트이면 용어가 아무 뜻도 안 된다. 세 벤더가 전부 제로 트러스트를 주장하는 걸 평가하는 CISO에게 신호가 없다.
제로 트러스트가 실제로 요구하는 것
진짜 제로 트러스트 아키텍처는 수년의 작업이지 제품 구매가 아니다. NIST SP 800-207이 구성요소에 대해 명시적이다:
경계로서의 정체성. 모든 접근 결정이 누가, 어떤 디바이스에서, 어떤 맥락에서 요청하는지에 기반. 어떤 네트워크에 있는지가 아니다. 성숙한 ID 제공자, 강한 인증(이상적으로 피싱 방지), 디바이스 상태 평가가 필요하다.
모든 곳에 최소 권한. 사용자가 필요한 것에만 정확히 접근. “프로덕션 네트워크 접근”이 아니라 특정 애플리케이션, 특정 리소스, 역할과 맥락으로 범위 지정. 대부분의 조직에서 접근 통제를 바닥부터 재구축해야 한다.
마이크로세그멘테이션. 내부 네트워크를 작고 격리된 세그먼트로 나눈다. 침해된 워크스테이션이 데이터베이스 서버에 도달할 수 없다. 깊은 네트워크 재설계가 필요하다.
지속적 검증. 인증이 로그인 시 한 번이 아니다. 시스템이 접근 지속 여부를 계속 평가한다. 실시간 텔레메트리와 대부분 조직에 없는 정책 엔진이 필요하다.
각각이 아키텍처, 프로세스, 조직 동의를 포함하는 다분기 프로젝트다. 제품이 아니다. 프로젝트도 아니다. 변혁이다.
벤더 질문
누가 “제로 트러스트”를 팔고 있으면 구체적 질문 하나를 하라: 이 제품이 NIST SP 800-207의 어떤 신조를 다루는가?
답이 모호하면 — “제로 트러스트 보안을 제공합니다” — 제품이 딱지를 빌리고 있지 자격을 갖추지 않은 것이다. 답이 구체적이면 — “접근 정책 결정에 반영되는 지속적 디바이스 상태 평가를 제공합니다” — ZT 아키텍처의 구성요소이고, 평가할 가치가 있을 수 있다.
원칙을 무시하지 마라
제로 트러스트가 무의미하다는 게 아니다. 원칙 — 명시적 검증, 최소 권한, 침해 가정 — 은 보안 아키텍처를 생각하는 올바른 방법이다. 2010년에 맞았고 지금도 맞다.
무의미한 건 마케팅이다. 딱지가 너무 철저히 희석되어서 세일즈 피치에서 “제로 트러스트”를 듣는 건 아무 정보도 전달하지 않는다. 용어가 로르샤흐 테스트가 됐다.
조직이 제로 트러스트에 진지하면, 딱지를 완전히 무시하라. NIST SP 800-207을 읽어라. 오늘 실제로 구현하는 신조가 어떤 건지 확인하라. 격차를 식별하라. 로드맵을 만들어라. 수년이 걸릴 것이고 이름에 “제로 트러스트”가 들어간 단일 제품을 사는 일은 포함되지 않을 것이다.
아키텍처는 건전하다. 마케팅이 신호를 파괴했다.